Ordinateur infecté

champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014 - 15 nov. 2010 à 16:16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 nov. 2010 à 12:31
Bonjour, j'ai mon ordinateur portable qui a de gros problèmes de fonctionnement.
C'est un ordinateur familiale avec plusieurs sessions, j'ai beaucoup de mal à le faire marcher depuis quelques temps.

Quand je lance la session administrateur, il y a un message qui s'affiche: "Windows ne trouve pas 'C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe'...
Je clique sur ok et un second message: " Impossible de charger ou d'exécuter C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe...

Je ne peux pas lancer internet, on me dit que le serveur proxy refuse la connection.
J'ai également beaucoup d'alerte d'antivir alors je met en quarantaine, suite à cela j'ai lancé un scan de l'ordi par Antivir et il a trouvé pas mal de chose.

J'aurais besoin d'un coup de main pour m'aider s'il vous plait car je ne suis vraiment pas très doué en informatique.

Merci par avance.


16 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
15 nov. 2010 à 16:18

Regarde là : https://www.malekal.com/svchost-exe-shell-exe-dwm-exe-redirections-google-gomeo-etc/
Faut passer Malwarebyte et surtout après pour avoir internet fonctionnel tu fais ça :

* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l'onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l'utilisation du proxy s'il est coché.

Poste le rapport Malwarebyte.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
15 nov. 2010 à 21:30
Salut Malekal_morte,
Tout d'abord merci d'avoir répondu aussi vite.

J'ai suivi tes conseils en lançant un scan avec malwarebytes mais mon ordi a planté et ensuite impossible de le démarrer alors j'ai laissé tomber.
Je viens de rentrer et pour l'instant il marche et le scan est en cours, je poste le compte-rendu dès que possible.

Encore merci, bonne soirée
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
15 nov. 2010 à 23:48
Le scan Malwarebytes est fini, je le poste de suite:

Malwarebytes' Anti-Malware 1.46

Database version: 4214

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/11/2010 23:21:43
mbam-log-2010-11-15 (23-21-43).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 279835
Time elapsed: 2 hour(s), 0 minute(s), 18 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 28
Registry Values Infected: 2
Registry Data Items Infected: 3
Folders Infected: 2
Files Infected: 36

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> No action taken.

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{a043783e-4380-4270-b770-3b457c7d4cdf} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{616ee024-f676-45e5-8933-5be48fa9a60e} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{99806add-c5ef-4632-a3d0-3e778b051f94} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99806add-c5ef-4632-a3d0-3e778b051f94} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{e7c28ebf-91a9-411a-9293-ce9deb0fd816} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b792a203-fb64-4909-aefe-a9efb2697e55} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{067b5d39-578c-4d25-a119-a475e24d5f95} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{02aab237-8e24-46ce-bd71-ab4f4df52e3c} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{b3774019-f8c2-4a55-b075-ff0529b79c31} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b373722b-f571-43a6-b51d-15766456ca91} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ba79865a-c1ef-402f-9706-609eb2fb2360} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bae10fb0-a2ac-4c36-92ce-14bd30be0bb6} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f251bed0-0544-42c7-abbc-93556e513238} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f1aa2cad-0e89-4239-85e5-a91b69c5862d} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f92ace0c-4692-4793-bc37-eabc55da988a} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f9458b32-119c-4301-b86d-53a845894d5b} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f4a40134-ed3b-4069-bc86-ed9733bd3217} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f9a9f058-a535-45d3-8414-e80cafd6d31f} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ff7bcf7c-1d4b-4717-a39a-0db1a107b62b} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f817f096-9e9d-45fc-be44-11cef283faea} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> No action taken.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\windows\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Folders Infected:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS\system32\System32 (Trojan.Agent) -> No action taken.

Files Infected:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\System32\cis-2.4.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\issacapi_bs-2.3.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\issacapi_pe-2.3.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\issacapi_se-2.3.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MACXMLProto.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MaDRM.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MaJGUILib.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MaJUtilLib.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MAMACExtract.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MASetupCaller.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MASetupCleaner.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MaXMLProto.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MK_Lyric.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MSCLib.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MSFLib.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MSLUR71.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\msvcp60.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MTTELECHIP.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\MTXSYNCICON.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzaf1.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzapp.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzapp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzdecode.ax (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzeffect.ax (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzmp4sp.ax (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzmpgsp.ax (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzoggsp.ax (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\muzwmts.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\System32\psapi.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\crt.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.
C:\WINDOWS\system32\shimg.dll (Trojan.Agent) -> No action taken.

Sinon tes conseils pour le serveur proxy ont marchés.

J'attend tes nouvelles instructions.

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
17 nov. 2010 à 09:18
Hello mak et champi

La base Virale de MBAM n'est pas à jour:

"Database version: 4214" "
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
Modifié par Malekal_morte- le 16/11/2010 à 09:50
"No action taken" => T'as bien supprimé tout ce qui a été détecté ?
Si c'est pas le cas faut refaire un scan et tout supprimer.


Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
%ALLUSERSPROFILE%Application Data*.
%ALLUSERSPROFILE%Application Data*.exe /s
%APPDATA%*.exe /s
%systemroot%*. /mp /s
%systemroot%system32*.dll /lockedfiles
%systemroot%Tasks*.job /lockedfiles
%systemroot%system32drivers*.sys /lockedfiles

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

Proverbe Grolandais : "Neige en Jouin, oh poutain!"
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
16 nov. 2010 à 21:27

Désolé e suis un peu long pour répondre mais entre l'ordi qui plante en plein scan et le boulot.
J'ai que le rapport OTL (pas d'Extras), voici le lien:

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
17 nov. 2010 à 08:34
Le rapport est illisible depuis cijoint, zip le et envoie en zip.
Peut-être que ça merdouille via cijoint :p

champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
17 nov. 2010 à 12:15
Je ne sais pas comment envoyer le rapport zippé, il me faut une adresse mail non?
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
20 nov. 2010 à 17:56
comme je ne sais pas joindre le rapport zippé, j'ai retenté avec cijoint.fr en espérant que cette fois le rapport sera lisible.



Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
20 nov. 2010 à 18:10
Il est pourri ton PC.....

En plus apparemment t'as déjà fait une désinfection en juin sur PCAstuces.
Vous en avez pas marre de pourri votre PC ?

J'espère qu'après cette désinfection, vous allez faire l'effort de vous documenter un peu pour savoir comment les infections se propagent et commencer à avoir de bonnes habitudes sur la toile pour éviter de pourrir votre PC tous les quatre matins.

Pour information, dans le rapport Malwarebyte, il y avait une infection Zbot (voir : https://forum.malekal.com/viewtopic.php?t=21390&start= ) - type Stealer qui vole toutes les informations possibles, mot de passe, num tel etc et ça inclue les informations bancaires.

La suite...

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

O2 - BHO: () - {2BEDF792-BCF0-4A1A-A01E-82BDE8D1AF28} - C:\windows\System32\alk158.dll File not found
O4 - HKCU..\Run: [U36VRSFLG6] C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\Pfx.exe File not found
F3 - HKCU WinNT: Load - (C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe) - C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe File not found
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Elodie Champagne\Application Data\Microsoft\Windows\shell.exe) - C:\Documents and Settings\Elodie Champagne\Application Data\Microsoft\Windows\shell.exe File not found
O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found

* redemarre le pc sous windows et poste le rapport ici


* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
Files to delete:

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
22 nov. 2010 à 12:51

L'ordinateur est pourri, je veux bien te croire. Comme je l'ai mis dans mon 1er post, c'est un ordi familiale et c'est pas possible de contrôler ce que chacun fait.
Le pc a en effet été désinfecté sur PC astuces vers Juin mais des petits problèmes avaient persisté suite à la désinfection, d'où le changement de forum.

Je poste le rapport OTL:

Error: Unable to interpret <O2 - BHO: () - {2BEDF792-BCF0-4A1A-A01E-82BDE8D1AF28} - C:\windows\System32\alk158.dll File not found> in the current context!
Error: Unable to interpret <O4 - HKCU..\Run: [U36VRSFLG6] C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\Pfx.exe File not found> in the current context!
Error: Unable to interpret <F3 - HKCU WinNT: Load - (C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe) - C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe File not found> in the current context!
Error: Unable to interpret <O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Elodie Champagne\Application Data\Microsoft\Windows\shell.exe) - C:\Documents and Settings\Elodie Champagne\Application Data\Microsoft\Windows\shell.exe File not found> in the current context!
Error: Unable to interpret <O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found> in the current context!

OTL by OldTimer - Version log created on 11222010_124059

Je fais le reste après manger.
Bon ap
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
22 nov. 2010 à 12:52
attends y a un prb avec OTL.
ca n'a pas marché.

Tu as bien mis le :OTL en début de copier/coller ?
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
22 nov. 2010 à 13:43
J'ai bien mis le :OTL en début de copier/coller, j'ai fait correction et puis ça m'a de suite demander de redémarrer l'ordi, ce que j'ai fait.
Quand il s'est rallumé OTL s'est lancé et ce message est apparu (et apparait à chaque fois que j'exécute le programme) :
" Acess violation at adress 005B99CE in module 'OTL.exe'. Read of adress 00000000."
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
22 nov. 2010 à 13:46
bon bha passe à la suite.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
22 nov. 2010 à 14:18
Après le redémarrage de l'ordi il n'y a as eu de rapport, j'ai donc refait copie/collé sans :OTL et correction et ça m'a donné le rapport du dessus.

Je pense que cette fois c'est le bon rapport:

========== OTL ==========
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2BEDF792-BCF0-4A1A-A01E-82BDE8D1AF28}\ scheduled to be deleted on reboot.
Unable to delete registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2BEDF792-BCF0-4A1A-A01E-82BDE8D1AF28}\ .
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\U36VRSFLG6 not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\DOCUME~1\ELODIE~1\LOCALS~1\Temp\dwm.exe deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Elodie Champagne\Application Data\Microsoft\Windows\shell.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\ not found.

OTL by OldTimer - Version log created on 11222010_134254

Je continue donc.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
22 nov. 2010 à 14:41
Voici le rapport avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46

Platform: Windows XP


Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger


Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "blesf" deleted successfully.
Driver "punlbiwaoep" deleted successfully.
Driver "zriumxmudfpylcg" deleted successfully.
Driver "zuxevetbppvzqom" deleted successfully.

Error: file "C:\windows\System32\drivers\apzvvbzqgmik.sys" not found!
Deletion of file "C:\windows\System32\drivers\apzvvbzqgmik.sys" failed!
--> the object does not exist

Error: file "C:\windows\System32\drivers\auuyanmorpvek.sys" not found!
Deletion of file "C:\windows\System32\drivers\auuyanmorpvek.sys" failed!
--> the object does not exist
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
22 nov. 2010 à 16:12
J'ai suivi les instructions pour combofix sans que la console de récupération soit installée.

J'ai obtenu un rapport et j'essaie d'installer manuellement la console de recup comme indiqué dans le tutoriel, j'ai télechargé les disquettes windows XP SP2 et quand je lance l'application j'ai un message qui s'affiche:

C:\PROGRA~1\Symantec\S32EVNT1.DLL. L'initialisation de la DLL d'un pilote de périphérique insatllable a échoué. Choississez 'Fermer' pour mettre fin à l'application.

Si je fais ignorer, l'application se lance et on peux lire ceci:

ÃS±Óë¸ HÍ!rD<èZÀ¹D3ÿ¾ ó¤<×Y3À¾ I|$<Ùè"ü<-- +Ö&0/00<-- - 1252,

Ce programme crée les disquettes de démarrage de l'installation
pour Microsoft Windows XP SP2.
Pour créer ces disquettes, vous devez fournir 6 disquettes
haute densité, formatées et vierges.

Spécifiez le lecteur de disquette sur lequel il faut copier les images :

Mais que je tente de taper quelque chose la fenêtre disparait, je fais quoi.
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
22 nov. 2010 à 16:14
Laisse tomber pour la console, je sens que ça va grandement compliquer les choses.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
22 nov. 2010 à 21:10
Ok très bien je poste le rapport:

ComboFix 10-11-21.02 - Elodie Champagne 22/11/2010 15:21:49.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.894.507 [GMT 1:00]
Lancé depuis: c:\documents and settings\Elodie Champagne\Mes documents\Téléchargements\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

c:\documents and settings\All Users.\documents\settings
c:\program files\Common

Une copie infectée de c:\windows\system32\drivers\SiSRaid2.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\Service_Boonty Games

((((((((((((((((((((((((((((( Fichiers créés du 2010-10-22 au 2010-11-22 ))))))))))))))))))))))))))))))))))))

2010-11-22 11:20 . 2010-11-22 11:20 -------- dc----w- C:\_OTL
2010-11-15 15:24 . 2010-11-15 15:24 -------- d-----w- c:\documents and settings\Invité\Application Data\Malwarebytes
2010-10-24 10:27 . 2010-10-24 10:27 -------- d-----w- c:\documents and settings\NetworkService\Mes documents
2010-10-24 10:26 . 2010-10-24 10:27 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
2010-09-15 02:50 . 2010-06-19 13:00 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-15 00:29 . 2008-09-22 20:07 73728 ----a-w- c:\windows\system32\javacpl.cpl

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

"fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]

"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-08-01 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-01 688217]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\documents and settings\Morgan\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Active la souris sans fil.lnk.disabled [2006-3-24 749]
Active NumPad sans fil.lnk.disabled [2006-3-24 749]
Logitech Desktop Messenger.lnk.disabled [2010-6-7 2104]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe]
2005-06-03 06:16 81920 ----a-w- c:\progra~1\Sony\SONICS~1\SSAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystrayORAHSS]
2007-09-25 19:08 94208 ----a-w- c:\program files\orange\Systray\SystrayApp.exe

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" boot
"LDM"=c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe"
"ORAHSSSessionManager"=c:\program files\Orange\SessionManager\SessionManager.exe
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"SynTPEnh"=c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]


R1 MUsbFltr;WayTechMUSBFilterDriver;c:\windows\system32\drivers\MUsbFltr.sys [24/03/2006 19:47 8704]
R1 UsbFltr;WayTechMUSBFilterDriver;c:\windows\system32\drivers\UsbFltr.sys [24/03/2006 19:47 8960]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [04/10/2005 15:56 200192]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [19/03/2008 21:26 402432]
S1 mailKmd;mailKmd; [x]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [04/02/2010 13:00 18136]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [19/06/2010 21:52 36608]
S3 KiesAllShare;SAMSUNG KiesAllShare Service;c:\program files\Samsung\Kies\WiselinkPro\WiselinkPro.exe --> c:\program files\Samsung\Kies\WiselinkPro\WiselinkPro.exe [?]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\DRIVERS\WlanUIG.sys --> c:\windows\system32\DRIVERS\WlanUIG.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - PPEAHYYX
*Deregistered* - ppeahyyx
Contenu du dossier 'Tâches planifiées'
------- Examen supplémentaire -------
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: orange.fr\www
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
FF - ProfilePath - c:\documents and settings\Elodie Champagne\Application Data\Mozilla\Firefox\Profiles\2xu6jf5p.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

FF - user.js: yahoo.homepage.dontask - true
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

Toolbar-Locked - (no file)
WebBrowser-{94D0A3E9-6812-4485-8BA7-E57A5BEA3D84} - (no file)
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
HKLM-Run-NPSStartup - (no file)
HKU-Default-RunOnce-80708203 - c:\windows\system32\config\SYSTEM~1\LOCALS~1\APPLIC~1\80708203.exe
MSConfigStartUp-ccApp - c:\program files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-URLLSTCK - c:\program files\Norton Internet Security\UrlLstCk.exe
AddRemove-Ad-Remover - c:\program files\Ad-Remover\Uninstall.exe
AddRemove-BrightPlay - c:\documents and settings\Julian\Local Settings\Application Data\BrightPlay\Uninstall.exe


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-22 15:42
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

@DACL=(02 0000)

@DACL=(02 0000)

@DACL=(02 0000)
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(652)

- - - - - - - > 'explorer.exe'(3180)
c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll
------------------------ Autres processus actifs ------------------------
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
Heure de fin: 2010-11-22 15:48:57 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-11-22 14:48

Avant-CF: 22 683 705 344 octets libres
Après-CF: 23 011 741 696 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 544289F073919615AA3AC38D892627AF
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
23 nov. 2010 à 18:27
* Relance The Avenger.

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
Files to delete:

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt


Relance un scan Combofix (tu double-clics sur Combfix et laisse toi guider).
Poste le rapport Combofix ici.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
24 nov. 2010 à 11:56

Voici le log de The Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46

Platform: Windows XP


Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger


Beginning to process script file:

Rootkit scan active.

Hidden driver "spupdsvc" found!
DisplayName: Windows Service Pack Installer update service
ImagePath: C:\windows\system32\spupdsvc.exe
Start Type: 2 (Automatic)

Rootkit scan completed.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\PPEAHYYX" not found!
Deletion of driver "PPEAHYYX" failed!
--> the object does not exist

Error: file "c:\windows\system32\drivers\ppeahyyx.sys" not found!
Deletion of file "c:\windows\system32\drivers\ppeahyyx.sys" failed!
--> the object does not exist

Completed script processing.


Finished! Terminate.

Je passe à ComboFix.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
24 nov. 2010 à 12:43
Voici le log ComboFix:

ComboFix 10-11-23.04 - Elodie Champagne 24/11/2010 12:17:38.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.894.554 [GMT 1:00]
Lancé depuis: c:\documents and settings\Elodie Champagne\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

c:\documents and settings\Elodie Champagne\Application Data\Microsoft\stor.cfg
c:\documents and settings\Pierrot\Application Data\Microsoft\stor.cfg

((((((((((((((((((((((((((((( Fichiers créés du 2010-10-24 au 2010-11-24 ))))))))))))))))))))))))))))))))))))

2010-11-23 20:59 . 2010-09-10 05:50 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-11-23 06:25 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-11-23 06:25 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-11-22 22:33 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-11-22 22:25 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-11-22 11:20 . 2010-11-22 11:20 -------- dc----w- C:\_OTL
2010-11-15 15:24 . 2010-11-15 15:24 -------- d-----w- c:\documents and settings\Invité\Application Data\Malwarebytes

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
2010-09-18 11:23 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-05 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-05 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-15 02:50 . 2010-06-19 13:00 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-15 00:29 . 2008-09-22 20:07 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-09-10 05:50 . 2004-09-29 18:49 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2004-08-05 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:51 . 2004-08-05 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2004-08-05 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:58 . 2004-08-05 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-05 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

"fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]

"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-08-01 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-01 688217]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\documents and settings\Morgan\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Active la souris sans fil.lnk.disabled [2006-3-24 749]
Active NumPad sans fil.lnk.disabled [2006-3-24 749]
Logitech Desktop Messenger.lnk.disabled [2010-6-7 2104]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe]
2005-06-03 06:16 81920 ----a-w- c:\progra~1\Sony\SONICS~1\SSAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystrayORAHSS]
2007-09-25 19:08 94208 ----a-w- c:\program files\orange\Systray\SystrayApp.exe

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" boot
"LDM"=c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe"
"ORAHSSSessionManager"=c:\program files\Orange\SessionManager\SessionManager.exe
"Symantec NetDriver Monitor"=c:\progra~1\SYMNET~1\SNDMon.exe /Consumer
"SynTPEnh"=c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]


R1 MUsbFltr;WayTechMUSBFilterDriver;c:\windows\system32\drivers\MUsbFltr.sys [24/03/2006 19:47 8704]
R1 UsbFltr;WayTechMUSBFilterDriver;c:\windows\system32\drivers\UsbFltr.sys [24/03/2006 19:47 8960]
R2 NetFxUpdate_v1.1.4322;Microsoft .NET Framework v1.1.4322 Update;c:\windows\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe [15/01/2007 15:11 73728]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [04/10/2005 15:56 200192]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [19/03/2008 21:26 402432]
S1 mailKmd;mailKmd; [x]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [04/02/2010 13:00 18136]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [19/06/2010 21:52 36608]
S3 KiesAllShare;SAMSUNG KiesAllShare Service;c:\program files\Samsung\Kies\WiselinkPro\WiselinkPro.exe --> c:\program files\Samsung\Kies\WiselinkPro\WiselinkPro.exe [?]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\DRIVERS\WlanUIG.sys --> c:\windows\system32\DRIVERS\WlanUIG.sys [?]
------- Examen supplémentaire -------
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: orange.fr\www
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
FF - ProfilePath - c:\documents and settings\Elodie Champagne\Application Data\Mozilla\Firefox\Profiles\2xu6jf5p.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

FF - user.js: yahoo.homepage.dontask - true
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-24 12:27
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

@DACL=(02 0000)

@DACL=(02 0000)

@DACL=(02 0000)
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(664)
Heure de fin: 2010-11-24 12:32:18
ComboFix-quarantined-files.txt 2010-11-24 11:32
ComboFix2.txt 2010-11-22 14:48

Avant-CF: 21 900 804 096 octets libres
Après-CF: 21 902 684 160 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 1481D0C6B2A1A1B34C54648C6C79F926
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
Modifié par Malekal_morte- le 24/11/2010 à 13:55
Comment se comporte le PC ?

As-tu des enfants (surtout ados) qui utilisent le PC ?

Proverbe Chinois : "Si tu sais mettre un bonnet sur la tete, tu sais mettre une capote"
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
24 nov. 2010 à 14:28
Deux enfants, un garçon et une fille mais ce ne sont plus des ados.

Pour ce qui est du PC, je n'ai plus de problème avec "gomeo".
Cela dit de temps en temps (sur internet) j'ai des onglets de pub qui s'ouvre tout seul et le PC est peut être un peu plus lent.
Et sur une des sessions, j'ai toujours ce message qui s'affiche:

"Windows ne trouve pas 'C:\DOCUME~1\PIERROT~1\LOCALS~1\Temp\dwm.exe'...
Je clique sur ok et un second message: " Impossible de charger ou d'exécuter C:\DOCUME~1\PIERROT~1\LOCALS~1\Temp\dwm.exe...

A part ça c'est beaucoup mieux.
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
24 nov. 2010 à 14:31
C'est des pubs de quoi ?

Refais un scan OTL comme la première fois : https://forums.commentcamarche.net/forum/affich-19845610-ordinateur-infecte#4
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
24 nov. 2010 à 16:22
C'est des pubs sur les sites de poker essentiellement.

je poste le lien du scan OTL:

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
24 nov. 2010 à 17:45
Il faudrait que tu fasses le scan OTL sur la session où tu as l'erreur dwm.exe

D'autre part, les pubs c'est sur cette même session ou sur une autre ?
Est-ce que c'est sur toutes les sessions ?

Désinstalle Spybot, il sert à rien.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
24 nov. 2010 à 23:55
J'ai désinstallé Spybot.

J'ai le scan OTL dans la session du message dwm.exe, voici le lien:

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
25 nov. 2010 à 08:27
T'as pas fait un scan personnalisé \o

Supprime les Proxy sur Internet Explorer et Firefox : https://forums.commentcamarche.net/forum/affich-37640573-desactiver-son-proxy

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe File not found
O4 - HKCU..\Run: [info show] C:\DOCUME~1\Pierrot\APPLIC~1\FORDCH~1\Online Name.exe File not found
O4 - HKCU..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe File not found
O4 - HKCU..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe File not found
F3 - HKCU WinNT: Load - (C:\DOCUME~1\Pierrot\LOCALS~1\Temp\dwm.exe) - C:\DOCUME~1\Pierrot\LOCALS~1\Temp\dwm.exe File not found
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Pierrot\Application Data\Microsoft\Windows\shell.exe) - C:\Documents and Settings\Pierrot\Application Data\Microsoft\Windows\shell.exe File not found
[2009/11/07 19:24:31 | 000,003,705 | ---- | M] () -- C:\Documents and Settings\Pierrot\Application Data\Mozilla\Firefox\Profiles\c9lmwitk.default\searchplugins\YouGoo.xml

* redemarre le pc sous windows et poste le rapport ici

Mets Malwarebyte à jour.
Et lance un scan rapide depuis cette session.
Poste le rapport ici.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
25 nov. 2010 à 11:58
Voici le rapport après correction:

========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\info show deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\LDM deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WinUsr deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\DOCUME~1\Pierrot\LOCALS~1\Temp\dwm.exe deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Pierrot\Application Data\Microsoft\Windows\shell.exe deleted successfully.
C:\Documents and Settings\Pierrot\Application Data\Mozilla\Firefox\Profiles\c9lmwitk.default\searchplugins\YouGoo.xml moved successfully.

OTL by OldTimer - Version log created on 11252010_113932

Je m'attaque maintenant à Malware.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
25 nov. 2010 à 14:44
J'ai scanné la session Pierrot avec MalwareBytes:

========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\info show deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\LDM deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WinUsr deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\DOCUME~1\Pierrot\LOCALS~1\Temp\dwm.exe deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Pierrot\Application Data\Microsoft\Windows\shell.exe deleted successfully.
C:\Documents and Settings\Pierrot\Application Data\Mozilla\Firefox\Profiles\c9lmwitk.default\searchplugins\YouGoo.xml moved successfully.

OTL by OldTimer - Version log created on 11252010_113932

Durant le scan, j'ai eu une vingtaine de message d'alerte d'Antivir. J'ai tout mis en quarantaine, c'était pendant le scan de C:\Volume Système Information... Quelque chose comme ça.
Je sais pas si c'est important.
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
26 nov. 2010 à 17:06
heu tu as posté un rapport OTL au lieu de Malwarebyte.

Pour Antivir non c'est pas grave, c'est dans des points de restauration.
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
26 nov. 2010 à 22:31
En effet, je me suis emmêlée les pinceaux.

Voici le scan malwarebyte:

Malwarebytes' Anti-Malware 1.46

Database version: 5186

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25/11/2010 14:33:36
mbam-log-2010-11-25 (14-33-36).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 295688
Time elapsed: 2 hour(s), 27 minute(s), 48 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
27 nov. 2010 à 01:12
OK je pense qu'on est à la fin là.
Tu dois plus avoir de messages sur la session.

Encore des pubs sur Firefox quand tu surfs ?
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
27 nov. 2010 à 11:03
Non je n'ai plus de message sur aucunes sessions et pas de publicités non plus.
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
Modifié par Malekal_morte- le 27/11/2010 à 11:16
OK donc je pense qu'on en a terminé.
C'est bien d'avoir désinfecté le PC mais le but du jeu c'est surtout de te donner les armes pour ne pas le réinfecter. Sinon au final, ça n'aura pas servi à grand chose.

Quelques conseils et remarques par rapport à tes réinfections et ça :
L'ordinateur est pourri, je veux bien te croire. Comme je l'ai mis dans mon 1er post, c'est un ordi familiale et c'est pas possible de contrôler ce que chacun fait.

Ma question de savoir si tu avais des enfants ados, c'était parce que souvent les ados ont des comportements à risque sur internet (MSN, facebook sont visés par les malwares), parfois ils téléchargent des cracks et peut-être des sites pornos.
Parfois ils alourdissent le PC en installant un peu tout et n'importe quoi (programmes émoticons etc).
Bref c'est souvent eux qui pourissent le PC

Bon là ils sont pas ados apparemment.

Mais bon sache, qu'il est possible de faire tourner les utilisateurs Windows (donc les comptes de tes enfants s'ils en ont) avec des droits limités qui leur interdisent entre autres d'installer des programmes (et donc d'infecter le PC entierement, au pire, ça sera juste leur session, ce qui limite les choses car l'antivirus après peut facilement les virer).
Voir là pour mettre en place : https://forum.malekal.com/viewtopic.php?t=19316&start=&hilit=steady#p155384

Pour le reste... quelques conseils et à donner à tout le monde, car si y a qu'une personne qui fait attention et les autres font n'importe quoi, le PC sera réinfecté.

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Proverbe Chinois : "Si tu sais mettre un bonnet sur la tete, tu sais mettre une capote"
champi10 Messages postés 27 Date d'inscription lundi 15 novembre 2010 Statut Membre Dernière intervention 20 mai 2014
27 nov. 2010 à 12:29
Merci de ton aide et pour tes conseils, je vais potasser tout ces que tu m'as donné à lire afin d'éviter la ré infection du PC.

Pour ce qui est des questions, je n'y manquerait pas.

Encore merci.

P.S: Est ce que je dois supprimer OTL, ComboFix, The Avenger et tout les logs qui vont avec?
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
27 nov. 2010 à 12:31
yep tu peux les supprimer :)